<div dir="ltr"><div><span title="Event Name is MALWARE-CNC Win.Trojan.NetWiredRC variant registration message" style="white-space:nowrap">Has anyone else noticed these signatures creating false positives on mysql traffic (usually 3306).<br><br></span></div><span title="Event Name is MALWARE-CNC Win.Trojan.NetWiredRC variant registration message" style="white-space:nowrap">Anyone have any thoughts on how to tune it out?<br><br></span><div><span title="Event Name is MALWARE-CNC Win.Trojan.NetWiredRC variant registration message" style="white-space:nowrap"><br></span><br><span value="alert tcp $HOME_NET any -> $EXTERNAL_NET any (msg:"MALWARE-CNC Win.Trojan.NetWiredRC variant registration message"; flow:to_server,established; content:"|41 00 00 00 03|"; depth:5; dsize:<160; metadata:impact_flag red, policy balanced-ips drop, policy security-ips drop; reference:url,www.circl.lu/pub/tr-23/; classtype:trojan-activity; sid:32609; rev:2;)" title="ID: alert tcp $HOME_NET any -> $EXTERNAL_NET any (msg:"MALWARE-CNC Win.Trojan.NetWiredRC variant registration message"; flow:to_server,established; content:"|41 00 00 00 03|"; depth:5; dsize:<160; metadata:impact_flag red, policy balanced-ips drop, policy security-ips drop; reference:url,www.circl.lu/pub/tr-23/; classtype:trojan-activity; sid:32609; rev:2;) Desc: alert tcp $HOME_NET any -> $EXTERNAL_NET any (msg:"MALWARE-CNC Win.Trojan.NetWiredRC variant registration message"; flow:to_server,established; content:"|41 00 00 00 03|"; depth:5; dsize:<160; metadata:impact_flag red, policy balanced-ips drop, policy security-ips drop; reference:url,www.circl.lu/pub/tr-23/; classtype:trojan-activity; sid:32609; rev:2;)">alert
 tcp $HOME_NET any -> $EXTERNAL_NET any (msg:"MALWARE-CNC 
Win.Trojan.NetWiredRC variant registration message"; 
flow:to_server,established; content:"|41 00 00 00 03|"; depth:5; 
dsize:<160; metadata:impact_flag red, policy balanced-ips drop, 
policy security-ips drop; reference:url,<a href="http://www.circl.lu/pub/tr-23/">www.circl.lu/pub/tr-23/</a>; 
classtype:trojan-activity; sid:32609; rev:2;)<br><br></span><span value="alert tcp $HOME_NET any -> $EXTERNAL_NET any (msg:"MALWARE-CNC Win.Trojan.NetWiredRC variant keepalive"; flow:to_server,established; content:"|01 00 00 00 02|"; depth:5; dsize:5; metadata:impact_flag red, policy balanced-ips drop, policy security-ips drop; reference:url,www.circl.lu/pub/tr-23/; classtype:trojan-activity; sid:32610; rev:1;)" title="ID: alert tcp $HOME_NET any -> $EXTERNAL_NET any (msg:"MALWARE-CNC Win.Trojan.NetWiredRC variant keepalive"; flow:to_server,established; content:"|01 00 00 00 02|"; depth:5; dsize:5; metadata:impact_flag red, policy balanced-ips drop, policy security-ips drop; reference:url,www.circl.lu/pub/tr-23/; classtype:trojan-activity; sid:32610; rev:1;) Desc: alert tcp $HOME_NET any -> $EXTERNAL_NET any (msg:"MALWARE-CNC Win.Trojan.NetWiredRC variant keepalive"; flow:to_server,established; content:"|01 00 00 00 02|"; depth:5; dsize:5; metadata:impact_flag red, policy balanced-ips drop, policy security-ips drop; reference:url,www.circl.lu/pub/tr-23/; classtype:trojan-activity; sid:32610; rev:1;)">alert
 tcp $HOME_NET any -> $EXTERNAL_NET any (msg:"MALWARE-CNC 
Win.Trojan.NetWiredRC variant keepalive"; flow:to_server,established; 
content:"|01 00 00 00 02|"; depth:5; dsize:5; metadata:impact_flag red, 
policy balanced-ips drop, policy security-ips drop; 
reference:url,<a href="http://www.circl.lu/pub/tr-23/">www.circl.lu/pub/tr-23/</a>; classtype:trojan-activity; 
sid:32610; rev:1;)</span><br><br><br></div><div>-James<br></div></div>